Hoewel Microsoft de afgelopen jaren lovenswaardig werk heeft geleverd door stappen te ondernemen om malware te bestrijden en de ravage ervan te voorkomen, inclusief het recente verbod op het uitvoeren van macro’s in Office-bestanden die van internet zijn gedownload, lijkt het erop dat kwaadwillenden altijd een manier waarop de beruchte Qbot-malware nu geëvolueerd is om effectief te blijven tegen de nieuwste tactiek.
Volgens onderzoek uitgevoerd door Black Lotus Labs heeft de Qbot-malware, die meer dan tien jaar geleden begon als een bank-trojan, snel zijn distributienetwerk, implementatiemethoden en commando-en controle (C2 ) server als reactie op de wijzigingen van Microsoft. Daarnaast hebben bedreigingsactoren ook nieuwe technieken geïntroduceerd voor initiële toegang in phishing-campagnes, zoals het gebruik van kwaadaardige OneNote-bestanden, Mark of the Web-ontduiking en HTML-smokkel.
“Qakbot heeft veerkracht getoond door een vindingrijke aanpak toe te passen bij het bouwen en ontwikkelen van zijn architectuur..het demonstreert technische expertise door gebruik te maken van verschillende initiële toegangsmethoden en het onderhouden van een robuuste maar ontwijkende residentiële C2-architectuur”, luidt het rapport.
Groter aanpassingsvermogen
Naast de nieuwe implementatiemethoden hebben de Qbot-operators hoe ze hun C2-servers beheren, want in plaats van te vertrouwen op gehoste virtual private servers (VPS), verbergen cybercriminelen nu de C2-servers binnen gecompromitteerde webservers en hosts in residentiële IP-ruimtes. Hoewel deze aanpak resulteert in een kortere levensduur van servers, kunnen hackers snel nieuwe servers bemachtigen. Elke week worden er ongeveer 90 nieuwe C2-servers geactiveerd tijdens een spamcyclus.
Bovendien is het omzetten van bots in C2-servers cruciaal voor de activiteiten van Qbot. Dit komt omdat meer dan 25% van deze servers een dag actief is en de helft het niet langer dan een week volhoudt. Daarom spelen geconverteerde bots een cruciale rol bij het aanvullen van de C2-servervoorraad.
Tot overmaat van ramp stelt het rapport dat de malware in de nabije toekomst een aanzienlijke bedreiging zal blijven vormen.”Er zijn momenteel geen tekenen dat Qakbot vertraagt.”